Ak­tua­li­sie­rung der An­for­de­run­gen an die Cy­ber­si­cher­heit im Ener­gie­be­reich

Ausgabejahr 2025
Erscheinungsdatum 07.05.2025

Die Bundesnetzagentur hat heute Entwürfe für eine Aktualisierung der IT-Sicherheitskataloge für die Betreiber von Strom- und Gasnetzen und von Energieanlagen veröffentlicht.

"Mit der Digitalisierung im Strom- und Gasbereich und den Veränderungen der geopolitischen Bedrohungslagen steigen die Sicherheitsanforderungen. Wir aktualisieren die Anforderungen an die Cybersicherheit und sorgen so für eine gut abgesicherte Energieversorgung", sagt Klaus Müller, Präsident der Bundesnetzagentur.

Aktualisierung der Kataloge

Die zunehmende Digitalisierung im Energiesektor sowie der Wandel der Bedrohungslage erfordern die Aktualisierung der Anforderungen. Die geplante Festlegung ist eine Überarbeitung des IT-Sicherheitskatalogs für Betreiber von Strom- und Gasnetzen sowie des IT-Sicherheitskatalogs für Betreiber von Energieanlagen. Dabei werden die Inhalte konsolidiert und in einer gemeinsamen Festlegung neu veröffentlicht. Ziel ist es, die Kataloge weitgehend zu vereinheitlichen und sie noch enger an den prozessorientierten Ansatz der ISO/IEC 27001 anzulehnen.

Betreiber, die den IT-Sicherheitskatalog umsetzen, betreiben ein Informationssicherheitsmanagementsystem und verbessern durch kontinuierliche Risikoanalyse, Audits und Zertifizierung die Maßnahmen zum Schutz ihrer Systeme. Der neue IT-Sicherheitskatalog schafft einheitliche Begriffsdefinitionen für alle Betreiber und differenziert allgemeine Maßnahmen zu Cybersicherheit und Aufrechterhaltung der Betriebsfähigkeit (BCM) von spezifischen, durch Zertifizierung nachzuweisenden Sicherheitsanforderungen für Netze und Anlagen. Durch die neue Prozessorientierung werden effektivere und effizientere Risikoanalysen sowie eine noch stärkere Verzahnung von Informationssicherheit und BCM ermöglicht.

Hintergrund

Es ist Aufgabe der Bundesnetzagentur, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Mindeststandards für die IT-Sicherheit im Energiesektor festzulegen.

Der IT-Sicherheitskatalog für Betreiber von Strom- und Gasnetzen wurde im August 2015 veröffentlicht. Der IT-Sicherheitskatalog für Betreiber von Energieanlagen, die nach der BSI-Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, wurde im Dezember 2018 veröffentlicht. Die Kataloge fordern den angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme.

Die Festlegung verfolgt für den Energiebereich das generelle Ziel, den angemessenen Schutz der Verfügbarkeit, Integrität und Vertraulichkeit der Systeme kritischer Infrastrukturen im Strom- und Gassektor zu gewährleisten und eine Gefährdung der öffentlichen Sicherheit zu verhindern.

Die Festlegungsentwürfe sind unter www.bundesnetzagentur.de/1056850 veröffentlicht.